Sophos数据加密解决方案Word下载.docx
《Sophos数据加密解决方案Word下载.docx》由会员分享,可在线阅读,更多相关《Sophos数据加密解决方案Word下载.docx(29页珍藏版)》请在冰点文库上搜索。
1)笔记本电脑数据安全保护方案:
建议在每台笔记本电脑上安装Safeguard数据安全软件,保护笔记本电脑的全硬盘和个人文件目录,减少针对公司数据和个人数据的安全威胁。
通过集中的策略配置,为不同安全等级的用户配置不同的数据保密策略。
2XX安全需求分析
2.1用户数据防护层次划分
我们依照前面安全技术解决思路分析XX的安全需求,首先是针对XX公司的终端数据安全防护进行一个层次性的划分,可细分为下列几个层次:
●数据层面:
笔记本电脑将取代台式机成为XX用户的主要工作设备。
尽管在物理层面已经考虑到采用指纹、笔记本锁等物理安全保护工具进行保护,但是只能保证失窃率会有所降低,而一旦失窃的事件发生后,企业的敏感资料也将一并外泄。
所以,我们在方案中重点为XX设计了硬盘加密的解决办法,做到数据可以丢失,但是绝不会外泄。
●信息层面
第一层次:
信息是否可任意进出。
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,XX的敏感数据也几乎可以运用各项外围设备任意加载/携出,从而造成信息安全灾难。
因此,外围设备可否使用,敏感信息可否加载/携出,是信息安全防护的第一层关卡。
第二层次:
资料加密与保密。
有时,有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。
因此对于传递给别人的数据进行加密处理,是信息防护的第二层关卡。
第三层次:
群组共享资料加密防护。
XX是一个大的企业,通常存在多个团队合作某个项目,但敏感性数据亦是团队成员(Intranetteam,Extranetpartnerteam)可以共同存取如何防范非合法人员数据窃取,而合法人员适当存取。
这是一个非常重要的议题。
对于共享数据加密防护,并合法存取,即为数据防护的第三层关卡。
2.2用户安全等级划分
我们划分出的数据层次是适合XX公司的所有人员的,而每个人员由于其工作性质和所处位置的不同需要执行不同的安全策略。
我们根据XX用户的工作实际情况,将用户安全等级划分成为三类:
基层员工、中层管理者和高层管理者。
然后通过安全等级划分继而为各层人员指定详细的安全策略。
这种用户安全等级划分是通过比较合理的角度,来保护XX日常工作中信息资产,通过使用加密技术以保护敏感或重要机密信息,避免组织间交换数据时遭遗失、窜改、或误用。
这三个用户安全等级层面应存在于一个共同的最基本的安全需求之上,即:
●储存在文件服务器端的共享数据必须要有加密
●储存在PC端的数据必须要有加密
●必须管控到PC端的移动介质,避免数据随意被拷贝出去
●被拷贝与传送的文件必须要有加密,避免被任意散播
●员工行为必须有AuditLog
●尽量不影响用户的正常操作
对于基层员工(包括外包员工和临时员工),应强调对于员工个人相关工作产生的文档进行必要的加密保护,同时应严格控制移动介质的使用和访问共享文件服务器的权限问题。
对于中层管理者(包括项目成员、特殊权限的员工),在保护自己工作文件的基础上,应该对整个硬盘进行完整加密,以确保笔记本一旦丢失后,数据无法被未授权用户读取,不可能泄漏出去。
建议采用如下的安全策略及要求:
对于高层管理者来说,安全策略的主要目的就是保护数据安全,所以要求对文件和硬盘进行完整加密。
2.3用户安全预期效果
通过对安全策略的执行,XX用户在基础安全上可以达到以下安全目标:
●所有员工的笔记本有物理保护措施,减少失窃的概率
●所有员工计算机的a:
\~z:
\磁盘驱动器的可受到加密保护
●可控制存入磁盘驱动器的数据必须加密,有权限的User/GroupUsers需透过PKI认证才可以解密存取
●所有加密密钥的管理与数据紧急复原机制可由公司安全主管完全掌控,同时安全主管和系统主管权限分离,避免被一个人完全掌控的可能。
●网络传输过程,及备份的数据都是保持加密状态
●违规使用禁用装置的行为会同步于AuditServer保留一份纪录
●不会改变使用者作业环境与使用习惯
下表是根据安全级别对用户分别定义后,对相对应的策略效果进行了比对。
分类
安全措施
安全效果
解决方案
性能影响
系统支持要求
普通员工
包括:
基层员工
外包员工
临时员工
个人虚拟目录管理
个人文件/文件夹加密
UtimacoSafeGuardPrivateDisk
无
PC、笔记本、PDA或手机(采用ARM或Xscale处理器)Windows2000/XP/VistaPocketPC2002/2002PhoneWindowsMobile2003/2003Phone
全硬盘加密
/
移动外设控制
移动介质/储存媒体,全部禁止。
如果需要开启,需要提出申请。
UtimacoSafeGuardPortProtector
PC、笔记本Windows2000/2003/XP/Vista内存>
=256M
中层领导
三级经理
针对本机磁盘做加密,同时也支持磁盘片,USB等移动式设备之加密处理,防止设备遗失时数据外泄。
UtimacoSafeGuardEnterprise
初始化加密占用3%的CPU利用率,加密速度是1.27min/GB。
加密完成后的操作影响微小(见附图).
PC、笔记本
Windows2000/2003/XP/Vista
内存>
开机保护
开机时病毒检测.独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。
无。
Utimaco替换原先的Bios密码和Windows密码
高层领导
基层中心领导
公司领导
特殊岗位员工
PC、笔记本、PDA或手机(采用ARM或Xscale处理器Windows2000/XP/VistaPocketPC2002/2002PhoneWindowsMobile2003/2003Phone
针对本机磁盘做加密,防止设备遗失时数据外泄。
PC、笔记本
移动介质加密
移动硬盘,U盘等移动式设备之加密处理,防止设备遗失时数据外泄。
附图:
采用UtimacoSafeguard对硬盘加密后的性能对比表
3笔记本电脑安全方案
3.1UtimacoSafeguard数据安全套件(企业版)
数据安全保护需求,可细分下列三个层次:
移动存储外设的数据安全保护
信息设备越来越方便使用,各式外围设备已可随插即用(不用安装驱动程序),但也因为如,企业敏感数据也几乎可以运用各项外围设备(数字相机亦可以储存资料)任意加载/携出。
外围设备可否使用,敏感数据(或软件)可否加载/携出,是数据安全的第一层关卡。
笔记本电脑内资料保密。
笔记型电脑已经正逐步替代PC成为XX员工的主要工作平台,几乎每台设备内都有企业的敏感数据在内。
笔记本电脑带来了移动办公的便利性,也成为偷窃者或商业间谍的主要偷窃目标,笔记本电脑的失窃率几乎逐年高升,企业敏感资料也一并外泄。
笔记本电脑加密处理,是数据安全的第二层关卡。
个人资料加密。
有些敏感资料(尤其是高阶管理人员)不想任意被他人看到,或是仅想要让某些人看到。
移动式设备内数据加密处理,是数据安全的第三层关卡。
针对以上3个层次的数据安全保护需求,提出了完整的解决方案。
外围设备数据安全管理系统。
建议采用SafeGuardAdvancedSecurity外设数据安全保护软件。
笔记本电脑内数据加密系统。
建议针对笔记本电脑采用SafeGuardEasy数据加密软件,保护笔记本电脑内的所有数据。
针对PDA设备采用SafeGuardPDA数据加密软件。
建议采用SafeGuardPrivateDisk,为个人文件目录提供额外保护。
3.1.1SafeguardEasy笔记本数据安全软件
SafeGuardEasy提供PC或Notebook之全硬盘加密防护措施,不论您在何处(在办公室、路上、家中…)使用计算机设备,或是此设备被移至何处(遗失、被窃取),计算机中之数据始终保持在加密状态下,非经合法认证,无法得到其中之数据。
UtimacoSafeGuardEasy已行销全球超过一百七十万套,通过CommonCriteriaEAL3之认证,非常容易安装和使用,几乎没有售后服务的需求,适合快速大量之部署,是您保护计算机资产(e-assets)的最佳选择。
SafeGuardEasy主要有以下四个功能:
●全硬盘加密
●开机前认证
●开机防护
●集中式管理
3.1.1.1全硬盘加密
全硬盘式加密处理是SafeGuardEasy的基本功能,以计算机拥有人设定的加密密钥(encryptionkey)和加密方式(如:
AES128bitor256bit,3DES)将数据做加密防护,存取数据时必须有加密密钥能解开数据内容。
SafeGuardEasy不仅可针对本机磁盘做加密,同时也支持磁盘片,ZIP或USB等移动式设备之加密处理,防止设备遗失时数据外泄。
3.1.1.2开机前认证
SafeGuardEasy建立一独立于操作系统之外的认证机制,要开启计算机必须经过密码验证,且攻击操作系统无效。
SafeGuardEasy另一项功能是可设定密码输入之间隔时间(例如:
十分钟),当密码输入错误超过数次限制时,必须等待此间隔时间,才接受密码的再次输入,这样可以避免“字典攻击法”或“暴力入侵”之发生。
SafeGuardEasy也支持双因子是认证方式,如SmartcardorTokenCard,或者是指纹辨识系统或者是储存有使用者凭证(Certificate)之令牌,强化认证之机制。
3.1.1.3开机防护
在一般状况下,开机时、操作系统未启动前,其保护程序也就尚未启动。
这时,最常遭到开机病毒(磁盘开机)之入侵,尤其是针对MasterBootRecord(MBR),而造成档案或驱动程序被删除、禁止执行。
因此,SafeGuardEasy提供下列二项功能:
1)强迫以硬盘开机-禁止以磁盘或CD-ROM开机,如此,非法者不能以有问题的开机方式取得管理者的权限,存取所有的数据。
2)MBR防护-SafeGuardEasy安装后,会先留一份正常MBR的备份,一旦开机时,MBR被更动过,会以此备份之MBR来开机,避免开机病毒之入侵。
3.1.1.3.1集中式管理
SafeGuardEasy支持企业大量部署时之安全策略集中管理功能,达到快速且方便管理的目的。
SafeGuardEasy可将使用者权限分成下列5个等级:
●SYSTEM:
最高权限管理者。
拥有管理SafeGuardEasy的最高权限,通常是为企业的安全主管(SecurityOfficer)或安全管理员(SecurityADM),共可以建立并产生政策设定数据文件加以执行。
在发生状况时(软件或硬件毁损),有能力可以将数据复原。
通常建议其密码储存在Token中,比较安全。
●SGADMIN:
本地管理者。
在大型企业运用时,可将政策管理权限分给几个本地管理者,各自进行其相关部门的管理工作,但是他们不能更改加密的参数(如:
加密方法和加密密钥)。
●NWADMIN:
网站或操作系统管理者。
日常作业,在处理被SafeGuardEasy保护的计算机时,有此权限的管理员,可以使用Challenge/Response方式,以“one-timepassword”方式认证可登入client端,进行日常维护作业,但不能是长期的使用者。
●HELPDESK:
信息服务人员。
拥有此权限的人,可以用Challenge/Response方式执行密码重置以协助忘记密码的使用者或产生NWADMIN要用的“onetimepassword”。
此功能可协助减轻系统管理者的负担。
●USER:
没有管理者权限。
此为一般使用者的预设权限。
3.1.1.4安装部署方式
SafeGuardEasy可作预先设定(pre-configured)非常容易自动安装和部署,即使是当初使用者,都不需系统管理员的协助。
在MicrosoftWindows的环境下,SafeGuardEasy支持MicrosoftInstaller,在使用者不知情可轻易的完成安装工作。
通常是用以下两种方式进行:
1)产生MicrosoftInstallerfile,不作其它特殊的设定。
2)进入SpecificSetting中作调整,可操作手动方式或以MicrosoftInstaller辅助工作ORCA进行。
例如:
如图12在“property”字段中设定SafeGuardEasy设定文件的路径,下图13中,将“Feature”字段设为“willbeinstalled”系统就会自动执行安装程序。
3.1.1.5中央控制台
SafeGuardEasy一旦安装妥善几乎不需要管理和维护,如果需要,也可透过中央控制台连接至SafeGuardEasy数据库(可置于同一主机上,也可与中控台分开,置于不同的机器),作各项的管理工作。
3.1.1.6紧急事件处理方式
紧急情况一:
用户忘记密码
一旦忘记密码,就无法开启计算机,SafeGuardEasy提供ResponseCodeWizard,通过三个自我检测的步骤(图15-图19),系统管理员可将产生的ResponseCode,电话通知或以短信方式传给使用者,使用者即可取得新的密码。
紧急情况二:
SafeGuardEasy软件损坏
SafeGuardEasy采取PBA(Pre-BootAuthentication)保护方式,一旦存于SafeGuardEasy软件的磁盘区域毁损,SafeGuardEasy无法正常运作,计算机即无法启动,为预防此事发生,您必须先准备好SafeGuardEasyKernel的备份文件(大约60KB~300KB,如图21~图22或是图23),以此备份将系统回复。
但须注意,此备份文件是针对指定的计算机(如:
PC“WKS-0815”)才有作用,无法用在别的计算机上。
3.1.1.7产品优点
在安全和成本的评估下,运用SafeGuardEasy保护企业重要的信息资产是最佳的选择。
以下就不同的层面来分析其优点:
→对于用户而言
●几乎不用教育训练。
使用者几乎没有感觉其存在。
●SafeGuardEasy认证与操作系统认证已作成SingleSignOn,不用输入第二次。
●整个硬盘都已加密,使用者不必再为何种数据该加密而考虑。
●不影响效能:
高效能加密方式,使用者不会感觉效能降低。
●安全性:
很多时候,使用者计算机会处于“冬眠”状态,(SuspendtoDisk),因为技术非常复杂,大多数的磁盘加密软件不支持此功能。
SafeGuardEasy是唯一支持此功能的产品,随时都将数据保持在加密状态。
→对于IT经理而言
防护企业信息遗失。
●集中式安全策略管理,管理容易。
●知名度:
SafeGuardEasy荣获各大安全杂志评选为“五星级”最佳产品,不论是在UserFriendly、效能、文件、技术支持和价格效能等评比都是最高得分。
●低维护成本。
SafeGuardEasy是针对企业大量部署的完善设计。
●教育训练,不需要使用者教育训练。
●SafeGuardEasy通过CommonCriteriaEAL3的认证,证实其软件设计的安全性。
●可与其它硬件式安全产品结合。
SafeGuardEasy可结合Token认证或是与ESS芯片,TPM模块结合。
更加强其安全性。
●与使用者分担硬件成本。
例如:
保险业业务员通常要负担部份的硬件成本,管理者想随时保有管理权限,而使用者也想自行运用其设备。
SafeGuardEasy有提供双开机“Twinboot”功能,可适合此一应用。
→对于系统管理者而言
●运用pre-configuration将安全策略作好定义后,以自动部署方式,可以很轻易的完成client端计算机的硬盘加密作业,在节省建置成本方面,SafeGuardEasy绝对比其它竞争对手要强很多。
●几乎是作到“deploy&
forget”,SafeGuardEasy部署完成后,几乎不用维护,即使修改密码或是更改加密部分(部份加密,非全硬盘加密)也很容易,可以说是做到所谓的“deploy&
forget”。
●远程更改设定非常容易。
SafeGuardEasy的管理者可以改善使用者设定档存成一个被保护的档案,传送给使用者(可透过e-mail方式)或置于中控台,管理者甚至都不需要联机到使用者的计算机上即可完成。
●解密时也不用联机至使用者计算机。
如果使用者遗忘密码时,他可与管理者用电话连络,进行Challenge/Response程序后,管理者可直接告知密码后即可解密还原,不须受到一定要计算机连接上网络的限制。
●HELPDESK节省管理成本。
SafeGuardEasy有很容易使用的Helpdesk机制,使用者可自行解决问题,不用麻烦管理员。
●支持多种使用者设定档。
SafeGuardEasy可支持达15个不同的userprofile给不同的使用者,同一台计算机可依很多不同的使用者使用,数据加密防护功能依旧完善。
●安全地WakeonLAN(WOL)。
大量部署时可能会受到使用者不在计算机旁,无法输入PBA密码的限制而中断。
SafeGuardEasy支持集中式管理的软件部署功能,遇到WOL状况时,仍能轻易的完成其管理工作。
●与RnR(Rescue&
Recovery)整合。
SafeGuardEasy是第一个通过认证与其RnR和ThinkVantage技术整合的硬盘加密产品。
加密过的数据在备份和回复的作业中始终保持其完整性。
3.1.2SafeguardPrivateDisk个人数据安全软件
在网络发展盛行的今日,您的个人计算机是与网络世界联机在一起的,很容易地会被病毒、间碟程序等得知您的私密数据。
因此个人数据的安全防护需求也愈来愈大。
根据FBI和CSI(ComputerSecurityInstitute)2002年的统计分析,各企业第二大安全问题是笔记型计算机的失窃,并造成US$89,000的平均损失。
因此,Utimaco以其超过20年的加密技术,提出PrivateDisk解决方案,满足客户这方面的需求。
SafeGuardPrivateDisk是融合了虚拟磁盘和磁盘加密技术的产品
3.1.2.1虚拟磁盘
虚拟磁盘对使用者而言,好像是一个外加的磁盘区块,但它不是实体的磁盘,而是一个大的独立的档案(“Volumefile”)一般,虚拟成一个磁盘方式呈现。
要产生一个10MB的虚拟磁盘,您的计算机硬盘中就被占用了10MB的档案空间。
虚拟磁盘不一定要在本机磁盘上,也可以是在移动式的媒体(Disks,CD-ROM,DVD,USB…etc.)或是网络硬盘上。
如下图所示,实体硬盘空间是A到G,而H和I就是虚拟磁盘了。
SafeGuardPrivateDisk安装后,如下图所示,就可产生加密的虚拟磁盘区块,保护个人数据,如:
客户数据、人事数据、产品数据、企业合并数据…等等。
3.1.2.2应用举例
应用范例1:
如下图所示,本机磁盘和CD-ROM之被加密,必须是授权的人,才能读取其中的内容。
应用范例2:
本机虚拟磁盘和网络虚拟磁盘
特性说明:
●本地磁盘和网络磁盘数据传输时,为加密状态,不会被Sniffer截取到数据。
●整个虚拟磁盘的内容可安全地传送到别处(也可透过email,不过,通常受到档案大小)。
●透过管理精灵,可以轻易的管理多个虚拟磁盘。
●集中式管理,企业运用时,提供紧急复原机制,当遗忘密码时,通过认证程序,可以快速打开虚拟磁盘。
应用范例3:
群组应用
●多人共享档案服务器上的虚